学习啦 > 学习电脑 > 电脑安全 > 防火墙知识 > iptables防火墙如何设置

iptables防火墙如何设置

时间: 林辉766 分享

iptables防火墙如何设置

  iptables防火墙是我们电脑的防线,怎么样设置最好呢?下面由学习啦小编给你做出详细的iptables防火墙设置方法介绍!希望对你有帮助!

  iptables防火墙设置方法一:

  iptables防火墙设置方一,安装并启动防火墙

  [root@linux ~]# /etc/init.d/iptables start

  当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig/iptables

  我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了。

  1.加载模块

  /sbin/modprobe ip_tables

  2.查看规则

学习啦在线学习网   iptables -L -n -v

  3.设置规则

学习啦在线学习网   #清除已经存在的规则

  iptables -F

  iptables -X

学习啦在线学习网   iptables -Z

  #默认拒绝策略(尽量不要这样设置,虽然这样配置安全性高,但同时会拒绝包括lo环路在内的所#有网络接口,导致出现其他问题。建议只在外网接口上做相应的配置)

学习啦在线学习网   iptables -P INPUT DROP

  iptables -P OUTPUT DROP

  iptables -P FORWARD DROP

  #ssh 规则

  iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT

学习啦在线学习网   iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT

  #本地还回及tcp握手处理

  iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

学习啦在线学习网   iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

  #www-dns 规则

  iptables -I INPUT -p tcp –sport 53 -j ACCEPT

学习啦在线学习网   iptables -I INPUT -p udp –sport 53 -j ACCEPT

  iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT

学习啦在线学习网   iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT

  #ICMP 规则

学习啦在线学习网   iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT

学习啦在线学习网   iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT

  iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT

  iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT

  iptables防火墙设置方二,添加防火墙规则

  1,添加filter表

  1.[root@linux ~]# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //开放21端口

学习啦在线学习网   出口我都是开放的iptables -P OUTPUT ACCEPT,所以出口就没必要在去开放端口了。

  2,添加nat表

  1.[root@linux ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

  将源地址是 192.168.10.0/24 的数据包进行地址伪装

  3,-A默认是插入到尾部的,可以-I来插入到指定位置

  1.[root@linux ~]# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT

  2.[root@linux ~]# iptables -L -n --line-number

学习啦在线学习网   3.Chain INPUT (policy DROP)

学习啦在线学习网   4.num target prot opt source destination

  5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

  6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8

  7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的

  8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

学习啦在线学习网   9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

  10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

  11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW

  12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默认插到最后

  13.Chain FORWARD (policy ACCEPT)

  14.num target prot opt source destination

学习啦在线学习网   15.Chain OUTPUT (policy ACCEPT)

  16.num target prot opt source destination

  iptables防火墙设置方三,查下iptable规则

  1,查看filter表

学习啦在线学习网   1.[root@linux ~]# iptables -L -n --line-number |grep 21 //--line-number可以显示规则序号,在删除的时候比较方便

学习啦在线学习网   2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21

  如果不加-t的话,默认就是filter表,查看,添加,删除都是的

  2,查看nat表

学习啦在线学习网   1.[root@linux ~]# iptables -t nat -vnL POSTROUTING --line-number

  2.Chain POSTROUTING (policy ACCEPT 38 packets, 2297 bytes)

学习啦在线学习网   3.num pkts bytes target prot opt in out source destination

学习啦在线学习网   4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0

  四,修改规则

学习啦在线学习网   1.[root@linux ~]# iptables -R INPUT 3 -j DROP //将规则3改成DROP

  五,删除iptables规则

  1.[root@linux ~]# iptables -D INPUT 3 //删除input的第3条规则

  2.[root@linux ~]# iptables -t nat -D POSTROUTING 1 //删除nat表中postrouting的第一条规则

  3.[root@linux ~]# iptables -F INPUT //清空 filter表INPUT所有规则

学习啦在线学习网   4.[root@linux ~]# iptables -F //清空所有规则

  5.[root@linux ~]# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有规则

  六,设置默认规则

  1.[root@linux ~]# iptables -P INPUT DROP //设置filter表INPUT默认规则是 DROP

学习啦在线学习网   所有添加,删除,修改后都要保存起来,/etc/init.d/iptables save.上面只是一些最基本的操作,要想灵活运用,还要一定时间的实际操作。

  iptables配置常规映射及软路由

学习啦在线学习网   作用:虚拟化云平台服务器网段192.168.1.0/24 通过一台linux服务器(eth0:192.168.1.1、eth1:10.0.0.5)做软路由达到访问10.0.0.5能访问的网络范围,并且通过iptables的NAT映射提供服务。

学习啦在线学习网   NAT 映射网络端口:

  效果: 10.0.0.5:2222 —-》 192.168.1.2:22

  命令:iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22

  service iptables save

学习啦在线学习网   service iptables restart

  注意:1.在192.168.1.2的网络配置上需要将NAT主机的内网ip即192.168.1.1作为默认网关,如果10.0.0.5具有公网访问权限,dns则设置成公网对应dns

  2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主机上需要开启转发才能生效

  软路由192.168.1.0/24通过10.0.0.5访问外网:

学习啦在线学习网   命令:iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5

  service iptables save

  service iptables restart

  iptables防火墙设置方法二:

  Linux系统内核内建了netfilter防火墙机制。Netfilter(数据包过滤机制),所谓的数据包过滤,就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的,效率非常高。

  我们可以通过iptables命令来设置netfilter的过滤机制。

  iptables里有3张表:

  > Filter(过滤器),进入Linux本机的数据包有关,是默认的表。

  > NAT(地址转换),与Linux本机无关,主要与Linux主机后的局域网内计算机相关。

学习啦在线学习网   > Mangle(破坏者),这个表格主要是与特殊的数据包的路由标志有关(通常不用涉及到这个表的修改,对这个表的修改破坏性很大,慎改之)。

  每张表里都还有多条链:

  Filter:INPUT, OUTPUT, FORWARD

学习啦在线学习网   NAT:PREROUTING, POSTROUTING, OUTPUT

  Mangle:PREROUTING, OUTPUT, INPUT, FORWARD

  iptables命令的使用

学习啦在线学习网   基本格式:iptables [-t table] -CMD chain CRETIRIA -j ACTION

  -t table:3张表中的其中一种filter, nat, mangle,如果没有指定,默认是filter。

  CMD:操作命令。查看、添加、替换、删除等。

学习啦在线学习网   chain:链。指定是对表中的哪条链进行操作,如filter表中的INPUT链。

学习啦在线学习网   CRETIRIA:匹配模式。对要过滤的数据包进行描述

  ACTION:操作。接受、拒绝、丢弃等。

  查看

学习啦在线学习网   格式:iptables [-t table] -L [-nv]

  修改

  添加

学习啦在线学习网   格式:iptables [-t table] -A chain CRETIRIA -j ACTION

学习啦在线学习网   将新规则加入到表table(默认filter)的chain链的最后位置

  插入

学习啦在线学习网   格式:iptables [-t table] -I chain pos CRETIRIA -j ACTION

  将新规则插入到table表(默认filter)chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为:1 ~ num+1

  替换

  格式:iptables [-t table] -R chain pos CRETIRIA -j ACTION

学习啦在线学习网   用新规则替换table表(默认filter)chain链的pos位置的规则。pos的有效范围为:1 ~ num

  删除

  格式:iptables [-t table] -D chain pos

学习啦在线学习网   删除table表(默认filter)chain链的pos位置的规则。pos的有效范围为:1 ~ num

  包匹配(CRETIRIA)

  上面没有介绍CRETIRIA的规则,在这小节里详细介绍。包匹配就是用于描述需要过滤的数据包包头特殊的字段。

  指定网口:

  -i :数据包所进入的那个网络接口,例如 eth0、lo等,需与INPUT链配合

  -o: 数据包所传出的那么网络接口,需与OUTPUT链配合

  指定协议:

学习啦在线学习网   -p:tcp, udp, icmp或all

  指定IP网络:

学习啦在线学习网   -s:来源网络。可以是IP或网络

学习啦在线学习网   IP: 192.168.0.100

学习啦在线学习网   网络: 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可

  可以在前加 ! 表示取反

  -d:目标网格。同 -s

  指定端口:

  --sport:指定来源端口。可以是单个端口,还可以是连续的端口,例如:1024:65535。

学习啦在线学习网   --dport:指定目标端口。同--sport

  注意:要指定了tcp或udp协议才会有效。

学习啦在线学习网   指定MAC地址:

  -m mac --mac-source aa:bb:cc:dd:ee:ff

  指定状态:

  -m state --state STATUS

  STATUS可以是:

  > INVALID,无效包

学习啦在线学习网   > ESTABLISHED,已经连接成功的连接状态

学习啦在线学习网   > NEW,想要新立连接的数据包

学习啦在线学习网   > RELATED,这个数据包与主机发送出去的数据包有关,(最常用)

学习啦在线学习网   例如:只要已建立连接或与已发出请求相关的数据包就予以通过,不合法数据包就丢弃

  -m state --state RELATED,ESTABLISHED

  ICMP数据比对

  ping操作发送的是ICMP包,如果不想被ping到,就可以拒绝。

  --icmp-type TYPE

  TYPE如下:

学习啦在线学习网   8 echo-request(请求)

  0 echo-reply(响应)

  注意:需要与 -p icmp 配合使用。

学习啦在线学习网   操作(ACTION)

  DROP,丢弃

学习啦在线学习网   ACCEPT,接受

学习啦在线学习网   REJECT,拒绝

  LOG,跟踪记录,将访问记录写入 /var/log/messages

  保存配置

  将新设置的规则保存到文件

学习啦在线学习网   格式:iptables-save [-t table]

  将当前的配置保存到 /etc/sysconfig/iptables

  其它

  格式:iptables [-t table] [-FXZ]

学习啦在线学习网   -F :请除所有的已制订的规则

  -X :除掉所有用户“自定义”的chain

学习啦在线学习网   -Z :将所有的统计值清0

  iptables防火墙设置方法三:

  1、配置好后,注意保存

  /etc/rc.d/init.d/iptables save

  2、或者你直接编辑iptables 的配置文件,编辑好之后 ,保存重启,这样重启后,就不会还原了!

  配置文件位置: /etc/sysconfig/iptables

  看了“iptables防火墙如何设置 ”文章的还看了:

1.如何关闭linux的防火墙

2.防火墙Firewall设置方法

3.Linux防火墙怎么开放特定端口

4.怎么样查看centos防火墙状态

5.centos setup 无法配置防火墙怎么办

6.CentOS6.5怎么样设置

781304